Drupal 9.2.x < 9.2.18 / 9.3.x < 9.3.12 多個弱點 (drupal-2022-04-20)
high Nessus Plugin ID 160024
語系:
概要
遠端網頁伺服器上執行的 PHP 應用程式受到多個弱點的影響。說明
根據其自我報告的版本號碼,遠端網頁伺服器上執行的 Drupal 執行個體是早於 9.2.18 的 9.2.x 版或早於 9.3.12 的 9.3.x 版。因此,會受到多個弱點影響。- Drupal 9.3 已針對實體修訂版實作一般實體存取 API。但是,此 API 並未與現有權限完全整合,這可能導致一般有權使用內容修訂版但無權存取個別節點和媒體內容項目的使用者繞過存取權。此弱點只會影響使用 Drupal 修訂版系統的網站。Drupal Steward 不在此公告範圍內。(SA-CORE-2022-009)
- Drupal 核心的表單 API 有一個弱點,其中某些提供的模組或自訂模組的表單可能容易受到不當輸入驗證影響。這可允許攻擊者注入遭到阻止的值或覆寫資料。受影響的表單並不常見,但在某些情況下,攻擊者可變更重要或敏感資料。我們不確定核心本身有哪些表單受到影響,但提供的表單和自訂專案表單可能會受到影響。安裝這項更新將修正這些表單。Drupal Steward 不在此公告範圍內。(SA-CORE-2022-008)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
升級至 Drupal 9.2.18 / 9.3.12 版或更新版本。另請參閱
https://www.drupal.org/sa-core-2022-009
https://www.drupal.org/project/drupal/releases/9.3.12
https://www.drupal.org/steward
https://www.drupal.org/sa-core-2022-008
Plugin 詳細資訊
嚴重性: High
ID: 160024
檔案名稱: drupal_9_3_12.nasl
版本: 1.2
類型: remote
系列: CGI abuses
已發布: 2022/4/21
已更新: 2022/4/21
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
弱點資訊
CPE: cpe:/a:drupal:drupal
必要的 KB 項目: Settings/ParanoidReport, installed_sw/Drupal
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2022/4/20
弱點發布日期: 2022/4/20